גם עובד יכול להוות איום
הקדמה
מדברים רבות ומזהירים אותנו מפני לוחמת סייבר, מתקפות של האקרים והשתלת נוזקות ורוגלות ביישומים המותקנים ברשתות מחשבים ובטלפונים חכמים. כמו כן מזהירים אותנו ממתן הרשאות מוגזמות ליישומים חדשים, שאנו מורידים ומתקינים במחשבים ובטלפונים החכמים שלנו.
התוצאה של חוסר הזהירות, יכולה להיות דחיפת מידע פרסומי לתועלתנו במקרה הטוב, גנבת מידע במקרה פחות טוב, שיבוש מאגרי המידע, הפרעה ונזק לפעילות הארגון במקרה הגרוע. סביר להניח שארגון מסודר יצליח באמצעות מנגנוני אבטחת מידע ומשטר גיבויים לאתר במהירות רבה את ממדי הנזק ולהתאושש. אם הארגון הוא בעל מודעות, מתוחכם ואף השקיע באבטחת מידע, יתכן שיצליח לסכל את המתקפה לפני שייגרם נזק כלשהו.
אבל, מה קורה עם "מתקפות" של עובדי פנים?
ל"מתקפות" אלה אף אחד לא מתייחס. רוב המעסיקים ברוב הארגונים אינם מודעים לאיום ולנזק הפוטנציאלי!
בכך יעסוק המאמר הנוכחי.
הגדרת הבעיה
כמעט לכל עובד בשירות הארגון, לרבות יועצים, פרילנסרים, סוכנים וכדומה, יש נגישות לעמדת עבודה קבועה או ניידת שמחוברת לרשת המחשוב הארגונית (לכן נתייחס במאמר זה לכול העובדים בשירות הארגון כמו שמתייחסים לעובדים שכירים).
לרוב המכריע של העובדים יש טלפון חכם (פרטי או של המעביד). גם אם הטלפון הוא פרטי יש בו שימוש נרחב לצרכי עבודה תחת הסדר כזה או אחר.
בדרך כלל, אנחנו לא מודעים לכך שטלפון חכם הוא בעצם מחשב רב עצמה, בעל יכולת תקשורת בפס רחב לכל רחבי העולם, בעל יכולות צילום, סריקה, אחסון, אחזור וחיפוש, כמעט בלתי מוגבלות. החסרונות, של מכשיר הטלפון הנם נפח האחסון, גודל הצג וגודל המקלדת. אולם, אלו חסרונות תאורטיים, שניתן להתגבר עליהם בנקל.
רבים מהעובדים משתמשים גם במחשבים ניידים ובמחשבים נייחים שמחוברים בתקשורת קבועה הן לרשת הארגונית והן לעולם הגדול.
בעבר הלא רחוק, המיקום של המשרד היה במשרד. מרבית נכסי הידע של הארגונים היו מאוחסנים בעותקים קשיחים במזכירויות הארגונים או ברשתות מחשוב סגורות ללא קשר לעולם החיצון. מיעוט נכסי הידע נשמרו באמצעי אחסון פיזיים מחוץ לארגון.
היום חלק גדול מנכסי הידע מצויים על הטלפון החכם, הטאבלט, המחשב הנייד תוך יכולת התחברות וסנכרון עם הרשת הארגונית מצד אחד ועם הרשת החיצונית מצד שני. לעתים רשימות הלקוחות הרשומות ב"אנשי קשר" של כל סוכני המכירות ארוכות, מפורטות ומעודכנות הרבה יותר מספר הטלפונים המצוי במזכירות מחלקת השיווק.
לעומת העבר, יש בטכנולוגיה ובכלים המודרניים, קלות בלתי נסבלת של העתקת מידע ומחיקתו. וחמור מכך פשוט אפשר להפסיק את הקשר עם הארגון בלי להשאיר עותק של רשימת אנשי קשר שהתנהלה איך לא בפלאפון של העובד או בלפטופ שלו.
לשם ביצוע העתקה לא צריך אפילו אמצעי אחסון או גיבוי מתוחכם. מסמנים, מעתיקים ומשתפים את המידע עם כתובת עלומה שהוכנה מראש בענן או בתיבת דוא"ל פרטית ובלתי מוכרת.
הבעיה מחמירה כשהארגון נאלץ להיפרד ממספר גדול של עובדים בבת אחת או תוך תקופה קצרה מאד, מסיבות של ייעול, צמצום וכד'.
לעתים, גם אם יחסי העבודה בארגון תקינים, לא רוצים לפטר אף אחד ואף אחד לא רוצה להתפטר, קיימת סכנה של אבדן טלפון חכם או לפטופ עם כל נכסי הידע של הארגון. במקרה הטוב הנזק הוא נפילת מידע לידיים לא רצויות. במקרה הרע, אין לנכסי ידע אלה שום גבוי במערכות הארגון והוא משותק.
מה עושים
- צריך למנות בכל ארגון בעל תפקיד בכיר, רצוי ברמת הנהלה, אשר יהיה ממונה על התמודדות עם התופעות המתוארות במאמר ויחפש פתרונות לעת משבר ולפני התרחשותו.
- לקבוע כללי מותר ואסור בשימוש ואבטחת מכשירים אלה ולהכניס את הכללים למודעות העובדים. כמו גם להפיץ כשגרה מידע על יישומים בעייתיים הפוגעים באבטחת המידע.
- להפעיל מנגנון מחייב של שאיבה שוטפת של מידע מהמכשירים שבידי העובדים למערכת מרכזית בארגון, כדי לייצר גיבויים שוטפים.
- להשתמש בכלים לאגירת וניהול ידע ברמת הארגון, ניתן לרכוש כלים כאלה בכסף קטן ולחסוך כסף גדול.
- יש לקבוע סטנדרטים של התגוננות מדליפת מידע בתהליכים של פרישת עובדים.
- פילוח עובדים לפי רמת רגישותם וחשיפתם למידע רגיש והתאמת פתרונות טכנולוגיים לכל סקטור.
- ארגון גדול עדיף שיפעל בייעוץ משפטי.
סכום
במאמרים קודמים עסקנו בחשיבות ביצוע פעולות למיצוי מידע פנים. במאמר נוכחי עסקנו בסוג אחד של הגנה על מידע פנים. אולם אין לראות פעולות אלה כפעולות נפרדות. בתכנון נכון ניתן לשלב בין הצורך להגן על נכסי הידע של הארגון מפני גורמים חיצוניים עם הצורך להגן על נכסי הידע מפני "גנבים תוצרת בית" וכמובן עם הצורך לבצע מיצוי אפקטיבי של מידע פנים.
התעלמות יכולה לגרום לכך שפרישת עובד יכולה להשאיר את הארגון חסר יכולת לתפקד בתחומים מסוימים.
לך תשחזר רשימת לקוחות.
לך תממש התחייבויות של לקוחות או ספקים שאינך יודע על קיומן.
תגיות: ניהול, טכנולוגיה